确保远程访问电子病历的安全

2010年10月11日

确保远程访问电子病历的安全
作者:Keith Fulmer, MHSA, PMP
郑重声明
第二十二卷第十八页

随着医疗机构采用电子病历，数据安全成为监管机构日益重视和担忧的问题。虽然大多数EHR系统的设计目的是在设施网络内提供高度保护，但传输受保护的健康信息(PHI)和允许远程访问电子系统可能会带来重大安全风险。

由于EHR系统的使用相对较新，很少有医疗保健提供者意识到围绕电子记录传输和远程访问的安全危险。健康信息专业人员了解这些挑战并领导他们的组织制定保护PHI的措施是至关重要的。

遥远的风险
在使用电子病历时，大多数医疗机构会发现，它们必须能够允许其他机构或远程编码员访问其系统中的电子记录。当然，员工会希望通过电子邮件发送记录，因为这是一种快速简便的传输方式。然而，电子邮件本身就是不安全的。大多数消费者级电子邮件系统——以及几乎所有免费的、基于web的电子邮件服务——都不安全。当不受保护的信息以电子方式传输时，它很容易被未经授权的个人拦截和读取。

如果记录必须以电子方式发送，医疗机构应该确保他们对记录的访问方式有一定的控制。一种合理的策略是提供一个受控的下载站点，允许工作人员通过电子邮件将链接发送给系统外部的授权用户，允许该用户通过由医疗机构控制的安全服务器下载记录。这比将记录作为电子邮件附件发送更安全，即使电子邮件受到保护。

医疗机构还应提供工具，在发送记录之前使用密码对其进行加密。一些电子邮件加密服务可以自动识别和加密包含PHI的消息，以帮助防止机密患者数据的意外传输。然而，这些工具通常都很昂贵，使它们超出了许多设施的预算。如果这些服务太昂贵，那么制定不鼓励或禁止通过电子邮件发送记录的政策就很重要了。

采用基于家庭的远程编码器以提供有效替代内部编码的设施可能会遇到额外的数据安全问题。如果设施不控制远程编码员用于访问网络的系统，则可能存在未经授权访问的机会，因为网络将仅受最终用户硬件级别的保护。

如果远程工作人员使用自己的笔记本电脑，他们可能会在设施的网络中制造漏洞，增加安全漏洞以及病毒和恶意软件的威胁。笔记本电脑的使用带来了另一个问题，因为它们被设计成便携的，可以在私人工作空间之外使用。根据HIPAA，远程编码器必须使用专用于编码的计算机的私人空间，并且设施必须确认符合此规则。beplay最新备用网站

一旦设施解决了使用笔记本电脑的问题，它必须确保远程编码员可以安全地登录设施系统以访问医疗记录。医疗保健组织应该为编码员提供硬件或提供虚拟化解决方案，例如允许编码员从自己的计算机登录到网络的安全门户。其他替代方案包括选择不允许远程编码或聘请具有高质量数据安全解决方案的负责任的人力资源公司提供远程编码服务。

如果一家医疗机构选择使用自己的远程编码员，IT人员应该为所有笔记本电脑配备全磁盘加密功能，并安装Computrace等软件，使该机构能够跟踪计算机，并保护计算机及其保存的数据，即使这些计算机不在网络上。这项技术可以向IT经理显示笔记本电脑的位置，谁用它们登录网络，笔记本电脑安装了什么软件，以及电脑的加密程度。所有用于远程访问的计算机都应包含最新的病毒和恶意软件保护。

制定电子病历安全政策
在实施电子病历时，应该组建一个跨部门团队来评估设施的数据安全需求，确定最佳解决方案，并设置安全规则。资讯科技及资讯系统管理部门应在界定政策及程序方面扮演重要角色。IT专业知识对于选择适当的安全解决方案和制定指导方针至关重要，而HIM人员必须测试安全程序，以确保它们不会减慢工作流程。IT和HIM部门可以共同制定最佳的安全策略，使员工能够高效地工作。

为确保PHI在EHR中得到适当保护，医疗保健提供者应采取以下措施:

•评估和调整PHI访问级别:医疗机构应评估PHI在其系统中的存储方式，并确定哪些工作人员可以访问患者数据，以及允许他们处理多少数据。应调整访问级别，以便只有授权人员才能访问PHI。

•为电子邮件设置规则:无论是决定禁止通过电子邮件传输PHI，还是决定采用安全下载解决方案或电子邮件加密，都必须建立并执行整个工厂的政策。

•创建远程访问指南:如果一个设施计划允许授权用户远程登录到网络，团队必须确定该组织是否将通过硬件或通过安全虚拟化技术为远程工作人员提供访问。

•与员工沟通政策:员工应该接受安全培训，强调数据安全措施的重要性，以及所有员工必须采取的遵守安全规则的步骤。每年至少进行一次进修课程，以强调关键的安全预防措施，并就任何政策变化进行沟通。如果政府法规发生重大变化，导致设施安全程序发生修改，应尽快进行培训，通知员工这些变化。

•监控安全:重要的是要确保有适当的流程来监视安全过程并评估用户遵守指导方针的情况。

如果医疗保健机构采取适当的措施来保护电子病历，则可以将安全漏洞的威胁和由此产生的HIPAA处罚降至最低，并且患者可能会更加确信他们的电子健康信息得到了很好的保护。尽管HIT作为一项有可能提高护理质量和患者安全的进步得到了行业领导者的广泛支持，但仍必须获得消费者的认可。为了充分利用HIT的优势并建立患者信任，医疗机构必须建立正确的政策来保护电子健康信息。

- Keith Fulmer, MHSA, PMP，专业人力资源公司Kforce, Inc .的健康和生命科学业务副总裁。